CN114221774A - 鉴权方法、服务器、终端设备及存储介质 - Google Patents
鉴权方法、服务器、终端设备及存储介质 Download PDFInfo
- Publication number
- CN114221774A CN114221774A CN202010923656.6A CN202010923656A CN114221774A CN 114221774 A CN114221774 A CN 114221774A CN 202010923656 A CN202010923656 A CN 202010923656A CN 114221774 A CN114221774 A CN 114221774A
- Authority
- CN
- China
- Prior art keywords
- authentication
- password
- server
- dynamic password
- terminal equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 62
- 238000004422 calculation algorithm Methods 0.000 claims abstract description 111
- 238000004590 computer program Methods 0.000 claims description 16
- 238000004891 communication Methods 0.000 claims description 10
- 239000000284 extract Substances 0.000 claims description 5
- 230000003993 interaction Effects 0.000 abstract description 16
- 238000010586 diagram Methods 0.000 description 8
- 238000007726 management method Methods 0.000 description 7
- 230000008569 process Effects 0.000 description 7
- 238000005336 cracking Methods 0.000 description 6
- 230000008859 change Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000002068 genetic effect Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000009417 prefabrication Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000007723 transport mechanism Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0846—Network architectures or network communication protocols for network security for authentication of entities using passwords using time-dependent-passwords, e.g. periodically changing passwords
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明实施例提供一种鉴权方法、服务器、终端设备及存储介质,属于网络安全领域。该方法包括:提取终端设备发送的访问请求中的第一鉴权密码,其中,第一鉴权密码是终端设备根据预设鉴权算法和获取到的动态密码生成的;根据服务器存储的终端设备对应的动态密码和预设鉴权算法,生成终端设备的第二鉴权密码;根据第一鉴权密码和第二鉴权密码,对终端设备进行鉴权。本发明实施例的技术方案能够提高终端设备与服务器交互的安全性。
Description
技术领域
本发明涉及网络安全的技术领域,尤其涉及一种鉴权方法、服务器、终端设备及存储介质。
背景技术
目前,终端设备可以通过移动网络与服务器进行交互,从而传递各种信息。对于OMA协议、TR069协议和MQTT协议等协议,在终端设备与服务器进行交互时,都有各自的鉴权方式。比如,使用HTTPS地址和证书文件,让终端设备和服务器相互信任并走加密的通道,或者,不同的协议使用不同的加密算法对信息进行加密解密,从而进行鉴权。但是,现有的鉴权基本都是对终端设备上的固定信息,使用不同的算法进行加密解密,这样容易造成加密算法被破解后,伪造出终端设备上的固定信息,并计算鉴权信息然后进行攻击,导致终端设备与服务器交互的安全性不高。
发明内容
本发明实施例的主要目的在于提供一种鉴权方法、服务器、终端设备及存储介质,旨在提高终端设备与服务器交互的安全性。
第一方面,本发明实施例提供一种鉴权方法,应用于服务器,所述方法包括:
提取终端设备发送的访问请求中的第一鉴权密码,其中,所述第一鉴权密码是所述终端设备根据预设鉴权算法和获取到的动态密码生成的;
根据所述服务器存储的所述终端设备对应的动态密码和所述预设鉴权算法,生成所述终端设备的第二鉴权密码;
根据所述第一鉴权密码和所述第二鉴权密码,对所述终端设备进行鉴权。
第二方面,本发明实施例提供一种鉴权方法,应用于终端设备,所述方法包括:
获取动态密码,并根据预设鉴权算法和所述动态密码生成第一鉴权密码;
向服务器发送携带有所述第一鉴权密码的访问请求,以使所述服务器获取所述第一鉴权密码,并根据所述服务器存储的所述终端设备对应的动态密码和预设鉴权算法,生成所述终端设备的第二鉴权密码,且使所述服务器根据所述第一鉴权密码和所述第二鉴权密码,对所述终端设备进行鉴权。
第三方面,本发明实施例还提供一种服务器,所述服务器包括处理器、存储器、存储在所述存储器上并可被所述处理器执行的计算机程序以及用于实现所述处理器和所述存储器之间的连接通信的数据总线,其中所述计算机程序被所述处理器执行时,实现如本发明实施例提供的应用于服务器中的任一项鉴权方法的步骤。
第四方面,本发明实施例还提供一种终端设备,所述终端设备包括处理器、存储器、存储在所述存储器上并可被所述处理器执行的计算机程序以及用于实现所述处理器和所述存储器之间的连接通信的数据总线,其中所述计算机程序被所述处理器执行时,实现如本发明实施例提供的应用于终端设备中的任一项鉴权方法的步骤。
第五方面,本发明实施例还提供一种存储介质,用于计算机可读存储,其特征在于,所述存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现如本发明实施例提供的任一项鉴权方法的步骤。
本发明实施例提供一种鉴权方法、服务器、终端设备及存储介质,本发明实施例通过提取终端设备发送的访问请求中的第一鉴权密码,该第一鉴权密码是终端设备根据预设鉴权算法和获取到的动态密码生成的,再根据服务器存储的终端设备对应的动态密码和预设鉴权算法,生成终端设备的第二鉴权密码,然后根据第一鉴权密码和第二鉴权密码,对终端设备进行鉴权。通过将动态密码和预设鉴权算法生成对终端设备进行鉴权的鉴权密码,可以提高终端设备的鉴权密码的安全性,大大提高终端设备和服务器的报文交互安全,防止攻击者在破解了鉴权算法之后,计算出鉴权信息然后对服务器进行攻击。
附图说明
图1为本发明实施例提供的一种鉴权方法的步骤流程示意图;
图2为实施本发明实施例提供的鉴权方法的一场景示意图;
图3为本发明实施例提供的另一种鉴权方法的步骤流程示意图;
图4为实施本发明实施例提供的鉴权方法的另一场景示意图;
图5为本发明实施例提供的一种服务器的结构示意框图;
图6为本发明实施例提供的一种终端设备的结构示意框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
附图中所示的流程图仅是示例说明,不是必须包括所有的内容和操作/步骤,也不是必须按所描述的顺序执行。例如,有的操作/步骤还可以分解、组合或部分合并,因此实际执行的顺序有可能根据实际情况改变。
应当理解,在此本发明说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本发明。如在本发明说明书和所附权利要求书中所使用的那样,除非上下文清楚地指明其它情况,否则单数形式的“一”、“一个”及“该”意在包括复数形式。
目前的技术中,通过服务器下发动态密码进行安全验证,往往使用在授权登录、移动支付等场景比较多,这种验证方式的前提是每个获得密码的用户都已经被授权,在建立用户时就为此用户分配一个密码,用户的密码可以由管理员指定,也可以由用户自行申请。
而在协议鉴权中,往往是利用协议约定的各种鉴权算法、证书文件的预制等手段来确保安全,并没有使用动态密码进行鉴权认证的。其中,鉴权(authentication)是指验证用户是否拥有访问系统的权利。需要说明的是,本发明所指的协议包括OMA协议、TR069协议和MQTT协议等移动通信协议,协议鉴权往往应用于特定的终端设备接入特定的服务器的网络,例如在终端设备进行软件升级、开通业务时访问用于进行软件升级、开通业务的服务器等。由于不同协议中的鉴权算法不同,本发明实施例可利用服务器生成的动态密码加入到鉴权算法中进行计算,能够提高协议中的鉴权算法的安全性,大大提高终端设备和服务器的协议报文交互安全。
本发明实施例提供一种鉴权方法、服务器、终端设备及存储介质。下面结合附图,对本发明的一些实施方式作详细说明。在不冲突的情况下,下述的实施例及实施例中的特征可以相互组合。
请参照图1,图1为本发明实施例提供的一种鉴权方法的步骤流程示意图。其中,该鉴权方法可应用于服务器中,该服务器可以是单台的服务器或者由多台服务器组成的服务器集群。
如图1所示,该鉴权方法包括步骤S101至步骤S103。
步骤S101、提取终端设备发送的访问请求中的第一鉴权密码,其中,第一鉴权密码是终端设备根据预设鉴权算法和获取到的动态密码生成的。
需要说明的是,鉴权密码由数字、字母和符号中的至少一个组成,用于对终端设备进行鉴权,终端设备包括机顶盒、电视机等电子设备,还包括智能水表、智能穿戴设备等物联网设备,以及包括路由器、客户前置设备CPE等宽带设备。由于不同协议中使用的鉴权算法不同,该预设鉴权算法根据不同协议约定的鉴权算法确定。例如,在OMA协议中,预设鉴权算法可以是CGA算法(compact genetic algorithm)。在一些实施例中,预设鉴权算法可以是一个加解密算法或者多个加解密算法的组合,例如,加解密算法包括AES(AdvancedEncryption Standard,高级加密标准)算法、RSA算法(Rivest Shamir Adleman),SHA1算法(Secure Hash Algorithm 1,安全散列算法1),MD5算法(MD5 Message-Digest Algorithm,MD5信息摘要算法),B64算法(Base64 Algorithm)。通过这些加解密算法或加解密算法的不同组合可以计算终端设备的鉴权密码。
其中,动态密码可以是实时变化的,服务器在每次接收到终端设备发送的动态密码获取请求后,实时地生成动态密码,并将生成的动态密码下发至终端设备,以供终端设备在获取到动态密码之后,根据预设鉴权算法和获取到的动态密码实时生成第一鉴权密码,并将该第一鉴权密码写入在访问请求中发送给服务器。终端设备获取到的动态密码可以是加密的动态密码也可以是未加密的动态密码,本发明实施例不做具体限定。通过实时变化的动态密码,在终端设备每次需要与服务器进行交互时,终端设备根据预设鉴权算法计算出的第一鉴权密码不同,提高了终端设备的鉴权密码的安全性,并提高终端设备和服务器的报文交互安全。
或者,动态密码也可以是周期性变化的,动态密码的变化周期可由用户根据实际情况灵活设置,该动态密码可由服务器根据随机算法随机生成,动态密码生成后开始计算该动态密码的有效期,该有效期的时长为变化周期的时长。通过周期性变化的动态密码,每隔一个变化周期更新一次动态密码,大大提高攻击者破解鉴权算法和鉴权密码的难度,提高终端设备和服务器的报文交互安全,防止攻击者对服务器进行攻击。
若动态密码是周期性变化的,在终端设备上的应用需要与对应的服务器交互时,终端设备需要确认存储区内是否保存有处于有效期内的动态密码,若终端设备确认存储区内未保存有与对应的服务器交互时所需的动态密码,或者若终端设备确认存储区内保存的与对应的服务器交互时所需的动态密码不位于有效期内,则终端设备请求服务器生成动态密码,以供终端设备获取到动态密码,并将该动态密码存储于存储区,以便终端设备在下一次需要与对应的服务器交互时能够获取到动态密码。
在一实施例中,服务器根据终端设备发送的动态密码注册请求,生成终端设备对应的动态密码,并存储动态密码;通过预设加密算法对动态密码进行加密,得到加密的动态密码;通过短信、移动网络和/或WAP PUSH(服务信息或推入信息)消息,将加密的动态密码下发至终端设备。其中,动态密码可以是随机生成的密码字符串,动态密码可以存储于与终端设备对应的服务器,预设加密算法包括对称加密算法和非对称加密算法。需要说明的是,WAP PUSH消息是一种特殊格式的短信,通过不同的通信通道例如短信、移动网络和/或WAPPUSH消息,将加密的动态密码下发至终端设备,提高协议中鉴权的安全性。
步骤S102、根据服务器存储的终端设备对应的动态密码和预设鉴权算法,生成终端设备的第二鉴权密码。
服务器提取终端设备发送的访问请求中的第一鉴权密码之后,根据服务器存储的终端设备对应的动态密码和预设鉴权算法,生成终端设备的第二鉴权密码。需要说明的是,第一鉴权密码是终端设备根据预设鉴权算法和获取到的动态密码生成的,第二鉴权密码是服务器根据预设鉴权算法和存储的终端设备对应的动态密码生成的,终端设备和服务器中的预设鉴权算法是相同的,该预设鉴权算法由应用终端设备和服务器进行交互的协议所约定。
在一实施例中,获取终端设备的第一标识和服务器的第二标识,以及获取服务器存储的终端设备对应的动态密码;基于预设鉴权算法,根据动态密码、第一标识和第二标识,生成终端设备的第二鉴权密码。其中,第一标识包括MEID标识(Mobile EquipmentIdentifier),MEID标识是全球唯一的56位设备标识号,可用来对终端设备进行身份识别和跟踪,第二标识为服务器的身份识别码,通过第二标识可以识别出对应的服务器。
示例性的,预设鉴权算法为OMA协议中的CGA算法,通过CGA算法可以利用f1(MEID标识,第二标识,动态密码)进行计算,从而得到终端设备的第二鉴权密码,例如第二鉴权密码为“$1|AJW!S~Le7bXJJ:.J#;(>;4!!$”。将动态密码参加到鉴权算法中,大大提高生成的鉴权密码的灵活性,防止攻击者破解鉴权算法并实现对服务器的攻击。
在一实施例中,获取终端设备访问服务器所需的用户名标识和密码信息,以及获取服务器存储的终端设备对应的动态密码;基于预设鉴权算法,根据动态密码、用户名标识和密码信息,生成终端设备的第二鉴权密码。其中,使用HTTPS地址和证书文件,在建立用户时就为此用户分配一个密码,从而得到用户名标识和密码信息。
示例性的,预设鉴权算法为B64算法和MD5算法的组合算法,通过B64算法和MD5算法可以利用f2(用户名标识,密码信息,动态密码)进行计算,例如通过B64(MD5(动态密码))进行解密计算,得到第二鉴权密码为“$1WuKK+ihhtLK)0c4=B`nCq#!!$”。将动态密码参加到鉴权算法中,极大提高终端设备和服务器的报文交互安全。
步骤S103、根据第一鉴权密码和第二鉴权密码,对终端设备进行鉴权。
在一实施例中,服务器得到第一鉴权密码和第二鉴权密码之后,将第一鉴权密码和第二鉴权密码进行对比,从而实现对终端设备的鉴权,并可进一步得到终端设备的鉴权结果。需要说明的是,当第一鉴权密码和第二鉴权密码的对比结果为一致,则确定终端设备的鉴权结果为验证通过,当第一鉴权密码和第二鉴权密码的对比结果为不一致,则确定终端设备的鉴权结果为验证不通过。
示例性的,当第一鉴权密码为“$1|AJW!S~Le7bXJJ:.J#;(>;4!!$”,第二鉴权密码为“$2|AJW!S~Le7bXJJ:.J#;(>;4!!$”,该第一鉴权密码与第二鉴权密码不一致,其对比结果为不一致,则确定终端设备的鉴权结果为验证不通过。示例性的,当第一鉴权密码为“$1WuKK+ihhtLK)0c4=B`nCq#!!$”,第二鉴权密码为“$1WuKK+ihhtLK)0c4=B`nCq#!!$”,该第一鉴权密码与第二鉴权密码一致,其对比结果为一致,则确定终端设备的鉴权结果为验证通过。
需要说明的是,根据第一鉴权密码和第二鉴权密码,对终端设备进行鉴权,其中第一鉴权密码是终端设备根据预设鉴权算法和获取到的动态密码生成的,第二鉴权密码是服务器根据预设鉴权算法和存储的终端设备对应的动态密码生成的,终端设备和服务器中的预设鉴权算法是相同的,但终端设备获取到的动态密码与服务器存储的终端设备对应的动态密码可能相同或者不相同。当终端设备端与服务器端的动态密码相同,则对终端设备进行鉴权得到的鉴权结果即为验证通过,当终端设备端与服务器端的动态密码不相同,则对终端设备进行鉴权得到的鉴权结果即为验证不通过,本发明实施例将生成的动态密码参加到鉴权算法中,大大提高生成的鉴权密码的灵活性,鉴权密码并未固定的值,攻击者破解鉴权算法和鉴权密码的难度极大,从而提高终端设备和服务器的报文交互安全。
请参照图2,图2为实施本发明实施例提供的鉴权方法的一场景示意图,如图2所示,终端设备10向服务器20发送动态密码注册请求;服务器20在接收到动态密码注册请求之后,基于动态密码注册请求生成终端设备10对应的动态密码;服务器20存储该终端设备10对应的动态密码,并将该动态密码返还至终端设备10;终端设备10根据预设鉴权算法和获取到的动态密码生成第一鉴权密码,再将生成的第一鉴权密码发送给服务器20;服务器20接收该第一鉴权密码,并根据服务器20存储的终端设备对应的动态密码和预设鉴权算法,生成终端设,10的第二鉴权密码;然后服务器20根据第一鉴权密码和第二鉴权密码,对终端设备10进行鉴权,从而大大提高终端设备10和服务器20交互的安全性。
上述实施例提供的鉴权方法,通过提取终端设备发送的访问请求中的第一鉴权密码,该第一鉴权密码是终端设备根据预设鉴权算法和获取到的动态密码生成的,再根据服务器存储的终端设备对应的动态密码和预设鉴权算法,生成终端设备的第二鉴权密码,然后根据第一鉴权密码和第二鉴权密码,对终端设备进行鉴权。通过将动态密码和预设鉴权算法生成对终端设备进行鉴权的鉴权密码,可以提高终端设备的鉴权密码的安全性,大大提高终端设备和服务器的报文交互安全,防止攻击者在破解了鉴权算法之后,计算出鉴权信息然后对服务器进行攻击。
请参照图3,图3为本发明实施例提供的另一种鉴权方法的步骤流程示意图,该鉴权方法应用于终端设备。其中,终端设备包括手机、电脑、机顶盒、电视机等电子设备,还包括智能水表、智能穿戴设备等物联网设备,以及包括路由器、客户前置设备(CustomerPremise Equipment,CPE)等宽带设备。
如图3所示,该鉴权方法包括步骤S201至S202。
步骤S201、获取动态密码,并根据预设鉴权算法和动态密码生成第一鉴权密码。
其中,鉴权密码由数字、字母和符号中的至少一个组成,用于对终端设备进行鉴权验证,该预设鉴权算法包括不同协议约定的至少一个加解密算法。需要说明的是,当终端设备上需要与服务器交互时,即终端设备接收到访问该服务器的访问指令后,获取动态密码并根据预设鉴权算法和动态密码生成第一鉴权密码,且向服务器发送携带有第一鉴权密码的访问请求。
在一实施例中,终端设备间隔预设时间生成服务器的访问指令;或者,终端设备响应于用户基于对遥控器、终端设备的按钮、控件、控制页面的触发操作而生成访问一服务器的访问指令;或者,终端设备接收到来自服务器发送的交互请求,从而生成访问该服务器的访问指令,本实施例不做具体限定。终端设备基于访问指令生成携带有第一鉴权密码的访问请求,便于服务器基于携带有第一鉴权密码的访问请求,对终端设备进行鉴权。
在一实施例中,获取动态密码的步骤包括:终端设备确定存储区中是否存储有访问服务器所需的动态密码;若确定存储区中存储有访问服务器所需的动态密码,则确定动态密码的存储地址,并根据存储地址获取动态密码;若确定存储区中未存储有访问服务器所需的动态密码,则向服务器发送动态密码注册请求,以使服务器基于动态密码注册请求生成终端设备对应的动态密码,并将终端设备对应的动态密码下发至终端设备。需要说明的是,若动态密码是周期性变化的,当确定存储区中存储有访问服务器所需的动态密码,可以直接从存储区中获取动态密码。若动态密码是实时变化的,终端设备向服务器发送动态密码注册请求,服务器基于动态密码注册请求生成动态密码,根据动态密码生成的鉴权密码也是动态变化的,提高了终端设备和服务器交互的安全性。
在一实施例中,确定存储区中是否存储有访问服务器所需的动态密码之后,还包括以下步骤:若确定存储区中未存储有访问服务器所需的动态密码,则向动态密码管理服务器发送动态密码注册请求,以使动态密码管理服务器基于动态密码注册请求生成终端设备对应的动态密码,并将终端设备对应的动态密码发送至终端设备和服务器。
示例性的,如图4所示,终端设备10确定存储区中未存储有访问服务器30所需的动态密码,向动态密码管理服务器20发送动态密码注册请求;动态密码管理服务器20接收终端设备10发送的动态密码注册请求,并基于接收的动态密码注册请求生成终端设备10对应的动态密码,并将终端设备10对应的动态密码同步至服务器30;同时,动态密码管理服务器20通过加密算法对终端设备10对应的动态密码进行加密,得到加密的动态密码,然后将加密的动态密码发送至终端设备10。
在一实施例中,根据预设鉴权算法和动态密码生成第一鉴权密码,包括:获取终端设备的第一标识和服务器的第二标识;基于预设鉴权算法,根据动态密码、第一标识和第二标识,生成终端设备的第一鉴权密码。其中,第一标识包括MEID标识(Mobile EquipmentIdentifier),MEID标识是全球唯一的56位设备标识号,可用来对终端设备进行身份识别和跟踪,第二标识为服务器的身份识别码,通过第二标识可以识别出对应的服务器。将动态密码参加到鉴权算法中,大大提高生成的鉴权密码的灵活性,防止攻击者破解鉴权算法并实现对服务器的攻击。
在一实施例中,终端设备获取终端设备访问服务器所需的用户名标识和密码信息;基于预设鉴权算法,根据动态密码、用户名标识和密码信息,生成终端设备的第一鉴权密码。其中,使用HTTPS地址和证书文件,在建立用户时就为此用户分配一个密码,从而得到用户名标识和密码信息。将动态密码参加到鉴权算法中,极大提高终端设备和服务器的报文交互安全。
步骤S202、向服务器发送携带有所述第一鉴权密码的访问请求,以使服务器从访问请求中提取第一鉴权密码,并根据服务器存储的终端设备对应的动态密码和预设鉴权算法,生成终端设备的第二鉴权密码,且使服务器根据第一鉴权密码和第二鉴权密码,对终端设备进行鉴权。
终端设备可以通过不同的通信通道向服务器发送访问请求,该访问请求中携带有第一鉴权密码。该通信通道包括但不限于短信、移动网络和WAP PUSH(服务信息或推入信息)消息。通过不同的通信通道向服务器发送携带有第一鉴权密码的访问请求,以使服务器从访问请求中提取第一鉴权密码,提高协议中鉴权的安全性。
服务器从访问请求中提取第一鉴权密码之后,根据服务器存储的终端设备对应的动态密码和预设鉴权算法,生成终端设备的第二鉴权密码。需要说明的是,第一鉴权密码是终端设备根据预设鉴权算法和获取到的动态密码生成的,第二鉴权密码是服务器根据预设鉴权算法和存储的终端设备对应的动态密码生成的,终端设备和服务器中的预设鉴权算法是相同的,该预设鉴权算法由应用终端设备和服务器进行交互的协议所约定。
服务器得到第一鉴权密码和第二鉴权密码之后,将第一鉴权密码和第二鉴权密码进行对比,从而实现对终端设备的鉴权。对终端设备的鉴权后可以得到终端设备的鉴权结果。例如,当第一鉴权密码和第二鉴权密码的对比结果为一致,则确定终端设备的鉴权结果为验证通过,当第一鉴权密码和第二鉴权密码的对比结果为不一致,则确定终端设备的鉴权结果为验证不通过。
上述实施例提供的鉴权方法,终端设备获取动态密码,并根据预设鉴权算法和动态密码生成第一鉴权密码,且向服务器发送携带有第一鉴权密码的访问请求,以使服务器从访问请求中提取第一鉴权密码,并根据服务器存储的终端设备对应的动态密码和预设鉴权算法,生成终端设备的第二鉴权密码,且使服务器根据第一鉴权密码和第二鉴权密码,对终端设备进行鉴权。通过将动态密码和预设鉴权算法生成对终端设备进行鉴权的鉴权密码,可以提高终端设备的鉴权密码的安全性,大大提高终端设备和服务器的报文交互安全,防止攻击者在破解了鉴权算法之后,计算出鉴权信息实施对服务器的攻击。
请参阅图5,图5为本发明实施例提供的一种服务器的结构示意性框图,服务器可以是单台的服务器或者由多台服务器组成的服务器集群。
如图5所示,服务器300包括处理器301和存储器302,处理器301和存储器302通过总线303连接,该总线比如为I2C(Inter-integrated Circuit)总线。
具体地,处理器301用于提供计算和控制能力,支撑整个服务器的运行。处理器301可以是中央处理单元(Central Processing Unit,CPU),该处理器301还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(ApplicationSpecific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable GateArray,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。其中,通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
具体地,存储器302可以是Flash芯片、只读存储器(ROM,Read-Only Memory)磁盘、光盘、U盘或移动硬盘等。
本领域技术人员可以理解,图5中示出的结构,仅仅是与本发明实施例相关的部分结构的框图,并不构成对本发明实施例所应用于其上的服务器的限定,具体的服务器可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
其中,所述处理器用于运行存储在存储器中的计算机程序,并在执行所述计算机程序时实现本发明实施例提供的任意一种所述的鉴权方法。
在一实施例中,所述处理器用于运行存储在存储器中的计算机程序,并在执行所述计算机程序时实现如下步骤:
提取终端设备发送的访问请求中的第一鉴权密码,其中,所述第一鉴权密码是所述终端设备根据预设鉴权算法和获取到的动态密码生成的;
根据所述服务器存储的所述终端设备对应的动态密码和所述预设鉴权算法,生成所述终端设备的第二鉴权密码;
根据所述第一鉴权密码和所述第二鉴权密码,对所述终端设备进行鉴权。
在一实施例中,所述动态密码是周期性变化,或者实时变化的。
在一实施例中,所述处理器在实现所述根据所述服务器存储的所述终端设备对应的动态密码和所述预设鉴权算法,生成所述终端设备的第二鉴权密码时,用于实现:
获取所述终端设备的第一标识和所述服务器的第二标识,以及获取所述服务器存储的所述终端设备对应的动态密码;
基于所述预设鉴权算法,根据所述动态密码、第一标识和第二标识,生成所述终端设备的第二鉴权密码;或者
获取所述终端设备访问所述服务器所需的用户名标识和密码信息,以及获取所述服务器存储的所述终端设备对应的动态密码;
基于所述预设鉴权算法,根据所述动态密码、用户名标识和密码信息,生成所述终端设备的第二鉴权密码。
在一实施例中,所述处理器还用于实现:
根据所述终端设备发送的动态密码注册请求,生成所述终端设备对应的动态密码,并存储所述动态密码;
通过预设加密算法对所述动态密码进行加密,得到加密的动态密码;
通过短信、移动网络和/或WAP PUSH消息,将所述加密的动态密码下发至所述终端设备。
需要说明的是,所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,上述描述的服务器的具体工作过程,可以参考前述应用于服务器中的鉴权方法实施例中的对应过程,在此不再赘述。
请参阅图6,图6为本发明实施例提供的一种终端设备的结构示意性框图。其中,终端设备包括手机、电脑、机顶盒、电视机等电子设备,还包括智能水表、智能穿戴设备等物联网设备,以及包括路由器、客户前置设备(Customer Premise Equipment,CPE)等宽带设备。
如图6所示,终端设备400包括处理器401和存储器402,处理器401和存储器402通过总线403连接,该总线比如为I2C(Inter-integrated Circuit)总线。
具体地,处理器401用于提供计算和控制能力,支撑整个终端设备的运行。处理器401可以是中央处理单元(Central Processing Unit,CPU),该处理器401还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。其中,通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
具体地,存储器402可以是Flash芯片、只读存储器(ROM,Read-Only Memory)磁盘、光盘、U盘或移动硬盘等。
本领域技术人员可以理解,图6中示出的结构,仅仅是与本发明实施例相关的部分结构的框图,并不构成对本发明实施例所应用于其上的终端设备的限定,具体的终端设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
其中,所述处理器用于运行存储在存储器中的计算机程序,并在执行所述计算机程序时实现本发明实施例提供的任意一种所述的鉴权方法。
在一实施例中,所述处理器用于运行存储在存储器中的计算机程序,并在执行所述计算机程序时实现如下步骤:
获取动态密码,并根据预设鉴权算法和所述动态密码生成第一鉴权密码;
向服务器发送携带有所述第一鉴权密码的访问请求,以使所述服务器获取所述第一鉴权密码,并根据所述服务器存储的所述终端设备对应的动态密码和预设鉴权算法,生成所述终端设备的第二鉴权密码,且使所述服务器根据所述第一鉴权密码和所述第二鉴权密码,对所述终端设备进行鉴权。
在一实施例中,所述处理器在实现所述获取动态密码时,用于实现:
确定存储区中是否存储有访问服务器所需的动态密码;
若确定存储区中存储有访问服务器所需的动态密码,则确定所述动态密码的存储地址,并根据所述存储地址获取所述动态密码;
若确定存储区中未存储有访问服务器所需的动态密码,则向所述服务器发送动态密码注册请求,以使所述服务器基于所述动态密码注册请求生成所述终端设备对应的动态密码,并将所述终端设备对应的动态密码下发至所述终端设备。
在一实施例中,所述处理器在实现所述终端设备确定存储区中是否存储有访问服务器所需的动态密码之后,还用于实现:
若确定存储区中未存储有访问服务器所需的动态密码,则向动态密码管理服务器发送动态密码注册请求,以使所述动态密码管理服务器基于所述动态密码注册请求生成所述终端设备对应的动态密码,并将所述终端设备对应的动态密码发送至所述终端设备和服务器。
在一实施例中,所述处理器在实现所述根据预设鉴权算法和所述动态密码生成第一鉴权密码时,用于实现:
获取所述终端设备的第一标识和所述服务器的第二标识;
基于所述预设鉴权算法,根据所述动态密码、第一标识和第二标识,生成所述终端设备的第一鉴权密码;或者
获取所述终端设备访问所述服务器所需的用户名标识和密码信息;
基于所述预设鉴权算法,根据所述动态密码、用户名标识和密码信息,生成所述终端设备的第一鉴权密码。
需要说明的是,所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,上述描述的终端设备的具体工作过程,可以参考前述应用于终端设备中的鉴权方法实施例中的对应过程,在此不再赘述。
本发明实施例还提供一种存储介质,用于计算机可读存储,所述存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现如本发明实施例提供的任一项鉴权的方法的步骤。
其中,所述存储介质可以是前述实施例所述的服务器或终端设备的内部存储单元,例如所述服务器或终端设备的硬盘或内存。所述存储介质也可以是所述服务器或终端设备的外部存储设备,例如所述服务器或终端设备上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。
本领域普通技术人员可以理解,上文中所公开方法中的全部或某些步骤、系统、装置中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。在硬件实施方式中,在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分;例如,一个物理组件可以具有多个功能,或者一个功能或步骤可以由若干物理组件合作执行。某些物理组件或所有物理组件可以被实施为由处理器,如中央处理器、数字信号处理器或微处理器执行的软件,或者被实施为硬件,或者被实施为集成电路,如专用集成电路。这样的软件可以分布在计算机可读介质上,计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的,术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外,本领域普通技术人员公知的是,通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据,并且可包括任何信息递送介质。
应当理解,在本发明说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合,并且包括这些组合。需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (11)
1.一种鉴权方法,其特征在于,应用于服务器,所述方法包括:
提取终端设备发送的访问请求中的第一鉴权密码,其中,所述第一鉴权密码是所述终端设备根据预设鉴权算法和获取到的动态密码生成的;
根据所述服务器存储的所述终端设备对应的动态密码和所述预设鉴权算法,生成所述终端设备的第二鉴权密码;
根据所述第一鉴权密码和所述第二鉴权密码,对所述终端设备进行鉴权。
2.根据权利要求1所述的鉴权方法,其特征在于,所述动态密码是周期性变化,或者实时变化的。
3.根据权利要求1所述的鉴权方法,其特征在于,所述根据所述服务器存储的所述终端设备对应的动态密码和所述预设鉴权算法,生成所述终端设备的第二鉴权密码,包括:
获取所述终端设备的第一标识和所述服务器的第二标识,以及获取所述服务器存储的所述终端设备对应的动态密码;
基于所述预设鉴权算法,根据所述动态密码、第一标识和第二标识,生成所述终端设备的第二鉴权密码;或者
获取所述终端设备访问所述服务器所需的用户名标识和密码信息,以及获取所述服务器存储的所述终端设备对应的动态密码;
基于所述预设鉴权算法,根据所述动态密码、用户名标识和密码信息,生成所述终端设备的第二鉴权密码。
4.根据权利要求1-3中任一项所述的鉴权方法,其特征在于,所述方法还包括:
根据所述终端设备发送的动态密码注册请求,生成所述终端设备对应的动态密码,并存储所述动态密码;
通过预设加密算法对所述动态密码进行加密,得到加密的动态密码;
通过短信、移动网络和/或WAP PUSH消息,将所述加密的动态密码下发至所述终端设备。
5.一种鉴权方法,其特征在于,应用于终端设备,所述方法包括:
获取动态密码,并根据预设鉴权算法和所述动态密码生成第一鉴权密码;
向服务器发送携带有所述第一鉴权密码的访问请求,以使所述服务器从所述访问请求中提取所述第一鉴权密码,并根据所述服务器存储的所述终端设备对应的动态密码和预设鉴权算法,生成所述终端设备的第二鉴权密码,且使所述服务器根据所述第一鉴权密码和所述第二鉴权密码,对所述终端设备进行鉴权。
6.根据权利要求5所述的鉴权方法,其特征在于,所述获取动态密码,包括:
确定存储区中是否存储有访问服务器所需的动态密码;
若确定存储区中存储有访问服务器所需的动态密码,则确定所述动态密码的存储地址,并根据所述存储地址获取所述动态密码;
若确定存储区中未存储有访问服务器所需的动态密码,则向所述服务器发送动态密码注册请求,以使所述服务器基于所述动态密码注册请求生成所述终端设备对应的动态密码,并将所述终端设备对应的动态密码下发至所述终端设备。
7.根据权利要求6所述的鉴权方法,其特征在于,所述终端设备确定存储区中是否存储有访问服务器所需的动态密码之后,还包括:
若确定存储区中未存储有访问服务器所需的动态密码,则向动态密码管理服务器发送动态密码注册请求,以使所述动态密码管理服务器基于所述动态密码注册请求生成所述终端设备对应的动态密码,并将所述终端设备对应的动态密码发送至所述终端设备和服务器。
8.根据权利要求5-7中任一项所述的鉴权方法,其特征在于,所述根据预设鉴权算法和所述动态密码生成第一鉴权密码,包括:
获取所述终端设备的第一标识和所述服务器的第二标识;
基于所述预设鉴权算法,根据所述动态密码、第一标识和第二标识,生成所述终端设备的第一鉴权密码;或者
获取所述终端设备访问所述服务器所需的用户名标识和密码信息;
基于所述预设鉴权算法,根据所述动态密码、用户名标识和密码信息,生成所述终端设备的第一鉴权密码。
9.一种服务器,其特征在于,所述服务器包括处理器、存储器、存储在所述存储器上并可被所述处理器执行的计算机程序以及用于实现所述处理器和所述存储器之间的连接通信的数据总线,其中所述计算机程序被所述处理器执行时,实现如权利要求1至4中任一项所述的鉴权方法的步骤。
10.一种终端设备,其特征在于,所述终端设备包括处理器、存储器、存储在所述存储器上并可被所述处理器执行的计算机程序以及用于实现所述处理器和所述存储器之间的连接通信的数据总线,其中所述计算机程序被所述处理器执行时,实现如权利要求5至8中任一项所述的鉴权方法的步骤。
11.一种存储介质,用于计算机可读存储,其特征在于,所述存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现权利要求1至8中任一项所述的鉴权方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010923656.6A CN114221774A (zh) | 2020-09-04 | 2020-09-04 | 鉴权方法、服务器、终端设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010923656.6A CN114221774A (zh) | 2020-09-04 | 2020-09-04 | 鉴权方法、服务器、终端设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114221774A true CN114221774A (zh) | 2022-03-22 |
Family
ID=80695706
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010923656.6A Pending CN114221774A (zh) | 2020-09-04 | 2020-09-04 | 鉴权方法、服务器、终端设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114221774A (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104580248A (zh) * | 2015-01-27 | 2015-04-29 | 中復保有限公司 | Http协议下可变密钥加密的安全登录方法 |
| CN107171789A (zh) * | 2017-04-20 | 2017-09-15 | 努比亚技术有限公司 | 一种安全登录方法、客户端设备及服务器 |
| CN109347835A (zh) * | 2018-10-24 | 2019-02-15 | 苏州科达科技股份有限公司 | 信息传输方法、客户端、服务器以及计算机可读存储介质 |
| US20200213293A1 (en) * | 2017-08-24 | 2020-07-02 | Beijing Sankuai Online Technology Co., Ltd | Identity authentication |
-
2020
- 2020-09-04 CN CN202010923656.6A patent/CN114221774A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104580248A (zh) * | 2015-01-27 | 2015-04-29 | 中復保有限公司 | Http协议下可变密钥加密的安全登录方法 |
| CN107171789A (zh) * | 2017-04-20 | 2017-09-15 | 努比亚技术有限公司 | 一种安全登录方法、客户端设备及服务器 |
| US20200213293A1 (en) * | 2017-08-24 | 2020-07-02 | Beijing Sankuai Online Technology Co., Ltd | Identity authentication |
| CN109347835A (zh) * | 2018-10-24 | 2019-02-15 | 苏州科达科技股份有限公司 | 信息传输方法、客户端、服务器以及计算机可读存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR102018971B1 (ko) | 네트워크 액세스 디바이스가 무선 네트워크 액세스 포인트를 액세스하게 하기 위한 방법, 네트워크 액세스 디바이스, 애플리케이션 서버 및 비휘발성 컴퓨터 판독가능 저장 매체 | |
| EP3318003B1 (en) | Confidential authentication and provisioning | |
| CN110912684B (zh) | 用于加密和解密的方法、系统和计算机可读介质 | |
| EP3090520B1 (en) | System and method for securing machine-to-machine communications | |
| WO2017020452A1 (zh) | 认证方法和认证系统 | |
| US9219607B2 (en) | Provisioning sensitive data into third party | |
| US20200320178A1 (en) | Digital rights management authorization token pairing | |
| US20100266128A1 (en) | Credential provisioning | |
| EP2398208A2 (en) | Method for securing transmission data and security system for implementing the same | |
| US8397281B2 (en) | Service assisted secret provisioning | |
| EP1917603A1 (en) | Distributed single sign-on service | |
| EP4322464A1 (en) | Information transmission method, storage medium and electronic device | |
| CN111740824B (zh) | 可信应用管理方法及装置 | |
| CN110708291A (zh) | 分布式网络中数据授权访问方法、装置、介质及电子设备 | |
| CN110138558B (zh) | 会话密钥的传输方法、设备及计算机可读存储介质 | |
| CN110771087B (zh) | 私钥更新 | |
| CN111314269A (zh) | 一种地址自动分配协议安全认证方法及设备 | |
| CN112242976B (zh) | 一种身份认证方法及装置 | |
| US10956583B2 (en) | Multi-phase digital content protection | |
| JP7191999B2 (ja) | ミニプログラムパッケージ送信方法、装置、電子機器コンピュータ可読媒体およびコンピュータプログラム製品 | |
| US8583930B2 (en) | Downloadable conditional access system, secure micro, and transport processor, and security authentication method using the same | |
| CN114501591A (zh) | 智能设备入网方法及其装置、计算机可读存储介质 | |
| CN114221774A (zh) | 鉴权方法、服务器、终端设备及存储介质 | |
| KR101282416B1 (ko) | 다운로드형 수신제한 시스템, 보안모듈, 전송처리 모듈 및 이를 이용한 보안 인증방법 | |
| CN111246480A (zh) | 基于sim卡的应用通信方法、系统、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |